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Beschreibung 

Gebiet der Erfindung 

[0001] Die vorliegende Erfindung bezieht sich allge- 
mein auf virtuelle private Netzwerke (VPNs) und ins- 
besondere auf eine Technik zur Implernentierung ei- 
ner Ressourcen-Zuteilung zur Implernentierung von 
VPN-Diensten unter Verwendung eines automati- 
schen Erkennungsprozesses zur Konfiguration von 
eineroder mehreren Schicht-2- und Schicht-3-VPNs. 

Hintergrund der Erfindung 

[0002] Bei Fehlen eines Vertraulichkeitsmechanis- 
rnus konnen schutzwurdige Daten (beispielsweise 
Passworter, Kontonummern, private Information, 
usw.), die uber ein Netzwerk ubertragen werden, 
durch unberechtigte Teilnehmer abgefangen werden. 
Ein Vertraulichkeitsmechanismus, der ublicherweise 
zum Schutz von Netzwerk-Daten verwendet wird, ist 
das virtuelle private Netzwerk (VPN). Unter Verwen- 
dung spezialisierter Tunnelungs-Protokolle und wahl- 
weise von sicheren Verschlusselungstechniken kann 
die Datenintegritat und die Vertraulichkeit in einem 
VPN aufrechterhalten werden, das ahnlich wie eine 
dedizierte Punkt-zu-Punkt-Verbindung erscheint. 

[0003] Netzwerk-basierte VPNs werden typischer- 
weise durch einen Tunnelungsmechanismus imple- 
mentiert. Im Allgemeinen kapselt der Tunnelungsme- 
chanismus die Paket-Kopffelder und/oder die Nutz- 
daten vor der Ubertragung des Paketes uber einen 
aufgebauten VPN-Tunnel ein. Als Ergebnis verwen- 
det die Ubertragung eines VPN-basierten Paketes le- 
diglich Nicht-Tunnelungs-lnformation, wie z.B. Inter- 
netprotokoll-(IP-)Adressen der Enden der Tunnels, 
wahrend die schutzwurdigen Daten, wie z. B. die 
Quellen- und Ziel-IP-Adressen und schutzwurdige 
Nutzdaten eingekapselt bleiben. Beispiele von Tun- 
nelungsmechanismen schliefcen die IP/IP-Tunne- 
lung, die generische Router-Einkapse- 
lungs-(GRE-)Tunnelung, die IP-Sicherheits-(IP- 
Sec-)Tunnelung und die Multiprotokoll-Etikettvermitt- 
lungs-(MPLS-)Tunnelung ein. Die Konfiguration ei- 
nes VPN-Tunnels ist typischerweise fur die spezielle 
Art des verwendeten VPN spezifisch. 

[0004] Ein typisches Netzwerk-IP-basiertes VPN 
schliefct im Allgemeinen zwei Diensteanbie- 
ter-Rand-(PE-)Gerate (beispielsweise einen VPN-fa- 
higen Router) ein, die uber eine Serie von Dienstean- 
bieter-Geraten (beispielsweise Router) miteinander 
verbunden sind, die einen Netzwerk-Backbone bil- 
den, wobei der Netzwerk-Backbone typischerweise 
ein oder mehrere offentliche Netzwerke einschliefM, 
wie z.B. das Internet oder ein Weitbereichs-Netzwerk 
(WAN). Mit jedem PE-Gerat sind ein oder mehrere 
Kunden-Rand-(CE-)Gerate, wie z.B. eine Arbeitssta- 
tion oder ein personlicher Computer, verbunden. Bei 



dieser Art von Netzwerk-basierten VPN werden 
VPN-Tunnels zwischen PE-Geraten anstatt zwischen 
CE-Geraten aufgebaut. Diese Tunnels, die hier als 
PE-PE-Tunnels bezeichnet werden, werden typi- 
scherweise entweder an der Schicht-2 oder der 
Schicht-3 des Zwischenverbin- 

dungs-(ISO/OSI-)Netzwerk-Modells der Internationa- 
len Normungsorganisation fur offene Systeme ge- 
baut. Beispiele von VPN-Mechanismen an der 
Schicht-2 schliefcen den virtuellen privaten 
LAN-Dienst (VPLS) (siehe Waldemar Augustyn et al., 
Requirements for Virtual Private LAN Services 
(VPLS)", Oktober 2002, erhaltlich unter 
<http://www.ietf.org/internetdrafts/draft-ietf-pp- 
vpn-vpls-requirements-01.txt>) und virtuelle private 
drahtgebundene Netze (VPW) (siehe Eric Rosen et 
al., „L2VPN Framework", Februar2003, erhaltlich un- 
ter <http://www.ietf.org/internet-drafts/draft-ietf-pp- 
vpn-12-framework-03.txt>) ein. Beispiele von 
VPN-Mechanismen auf der Schicht-3 schliefcen virtu- 
elle Routenfuhrungs-(VR-)basierte Mechanismen ein 
(siehe Hamid Ould-Brahim et al. „Network based IP 
VPN Architecture using Virtual Routers", Juli 2002, 
verfugbar unter <http://www.ietf.org/inter- 
n et-d rafts/d raft-i etf-p p vp n-vp n-vr-0 3 . txt> ) od e r 

VPNs, die auf der Norm RFC 2547bis beruhen (die in 
vielen Fallen als BGP/MLPS-basierte VPNs bezeich- 
net werden). (Siehe Erich Rosen et al., „BGP/MPLS 
VPNs", verfugbar unter <http://www.ietf.org/inter- 
net-drafts/draft-ietf-ppvpn-rfc2547bis-03.txt>, Okto- 
ber 2002). 

[0005] Unabhangig von dem verwendeten VPN-Me- 
chanismus besteht ein primarer Schritt beim Aufbau 
eines Netzwerk-basierten VPN in der Bereitstellung 
von Information uber jedes VPN, das auf einem ortli- 
chen PE-Gerat konfiguriert ist, an die verbleibenden 
PE-Gerate. Eine Anzahl von Mechanismen kann im- 
plementiert werden, um diese Verteilung der PE-ln- 
formation zu erzielen, wie z.B. BGP, Domanen-Na- 
mensdienst (DNS), Fernauthentifizierungs-Ein- 
wahl-Benutzerdienst (RADIUS) und dergleichen. 
Derartige Mechanismen sind in der Technik gut be- 
kannt. Nach der Verteilung dieser PE-lnformation 
werden typischerweise ein oder mehrere 
PE-PE-Tunnels teilweise auf der Grundlage von In- 
formation aufgebaut, die uber einen automatischen 
VPN-Erkennungsmechanismus empfangen wird. 

[0006] Es konnten verschiedene Tunnel-Signalisie- 
rungsprotokolle verwendet werden, um VPN-Tunnel 
aufzubauen und zu unterhalten, wie z.B. das Res- 
sourcen-Reservierungsprotokoll (RSVP) das Res- 
sourcen-Reservierungsprotokoll-Verkehrs-Enginee- 
ring (RSVP-TE), das Etikett-Verteilungsprotokoll 
(LBP), das Bedingungs-basierte Routenfuh- 
rungs-LDP (CR-LDP), die asynchrone Ubertragungs- 
betriebsart (ATM), Frame Relay, generische Routen- 
fuhrungs-Einkapselung (GRE), IPSsec und derglei- 
chen. 
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[0007] Verschiedene Parameter fur VPN-Tunnels in 
konventionellen Schicht-2- und Schicht-3-VPNs wer- 
den typischerweise manuell durch den Diensteanbie- 
ter konfiguriert. Als Ergebnis ist die Skalierbarkeit 
derartiger konventioneller VPN-lmplementierungen 
aufgrund der Schwierigkeit beschrankt, die sich aus 
der manuellen Konfiguration eines komplexen und 
dynamischen VPN-Systems ergibt, das eine grofte 
Anzahl von PE-Geraten aufweist und/oder sich dau- 
ernd andernden Systemanforderungen, wie z.B. eine 
sich kontinuierlich andernde Anzahl von Tun- 
nels/VPNs, konstante kontinuierliche Anderungen 
der Ressourcen, wie z.B. der Bandbreite, Verzoge- 
rung und/oder Dienstgute-(QoS-)Anforderungen und 
dergleichen aufweist. Weiterhin fehltdiesen konven- 
tionellen VPN-lmplementierungen allgemein ein defi- 
nierter Mechanismus, um VPN-Tunnels zu Ressour- 
cen pro VPNs oder pro Satz von VPNs in Beziehung 
zu setzen, wie z.B. QoS-Profile oder andere Tun- 
nel-spezifische Parameter. Als Ergebnis ist die Flexi- 
bility derartiger konventioneller VPN-Systeme beein- 
trachtigt, weil das VPN nicht in der Lage ist, in vorher- 
sagbarer Weise auf Anderungen des Bandbreitenbe- 
darfs, der QoS-Anforderungen und dergleichen zu 
reagieren. 

[0008] Im Hinblick auf das Vorstehende wurde es 
wunschenswert sein, eine Technik zur Erleichterung 
der Konfiguration von VPN-Tunnels auf der Grundla- 
ge zumindest teilweise von zugefuhrten Parametern 
in einer automatischen Erkennungs-Betriebsweise 
zu ermoglichen. Insbesondere wurde es wunschens- 
wert sein, Ressourcen-Profile, wie z.B. Dienstgu- 
te-(QoS-)Parameter unter Verwendung einer auto- 
matischen VPN-Erkennung als Erweiterung zu vor- 
handenen automatischen Erkennungsmechanismen 
in einer effizienten und kosteneffektiven Weise zu im- 
plementieren. 

Zusammenfassung der Erfindung 

[0009] Gemafc einem Gesichtspunkt der vorliegen- 
den Erfindung wird ein Verfahren zum Aufbau eines 
virtuellen privaten Netzwerk-(VPN-)Tunnels zwi- 
schen einem ersten Diensteanbieter-Rand-(PE-)Ge- 
rat und einem zweiten (PE-)Gerat eines von einem 
Diensteanbieter bereitgestellten VPN (PPVPN) ge- 
schaffen. Das Verfahren umfasst die Ankundigung 
von zumindest einem Tunnel-basierten Parameter an 
ein oder mehrere PE-Gerate uber einen Netz- 
werk-Backbone unter Verwendung eines automati- 
schen Erkennungsmechanismus, wobei das eine 
oder mehrere PE-Gerate zumindest eines der ersten 
und zweiten PE-Gerate einschliefcen, und die Konfi- 
gurieration eines VPN-Tunnels zwischen den ersten 
und zweiten PE-Geraten zumindest teilweise auf der 
Grundlage des zumindest einen Tunnel-basierten 
Parameters. Ein Computersignal, das in einer Tra- 
gerschwingung verkorpert ist, die von einem Compu- 
tersystem lesbar ist, und die Codierung eines Com- 



pute r-Prog ram ms von Befehlen zur Ausfuhrung ei- 
nes Computer-Prozesses konnen zur Durchfuhrung 
des vorstehenden Verfahrens verwendet werden. Die 
Erfindung ergibt weiterhin zumindest einen lesbaren 
Trager zum Speichern eines Computer-Programms 
von Befehlen, der so konfiguriert ist, dass er von zu- 
mindest einem Prozessor lesbar ist, um Befehle an 
den zumindest einen Prozessor zu liefern, um einen 
Computer-Prozess zur Durchfuhrung des vorstehen- 
den Verfahrens auszufuhren. 

[0010] Ein von einem Diensteanbieter bereitgestell- 
te virtuelles privates Netzwerk-(PPVPN-)System wird 
gemafc einem weiteren Gesichtspunkt der vorliegen- 
den Erfindung geschaffen. Das System umfasst eine 
automatische Erkennungseinrichtung zur Verteilung 
von zumindest einem virtuellen privaten Netz- 
werk-(VPN-)Tunnel-basierten Parameter an zumin- 
dest ein erstes und ein zweites Diensteanbie- 
ter-Rand-(PE-)Gerat und Tunnel-Signalisierungsein- 
richtungen zum Konfigurieren eines VPN-Tunnels 
uber einen Netzwerk-Backbone zwischen den ersten 
und zweiten PE-Geraten zumindest teilweise auf der 
Grundlage des zumindest einen Tunnel-basierten 
Parameters. 

[0011] Die vorliegende Erfindung wird nunmehr 
ausfuhrlicher unter Bezugnahme auf Ausfuhrungs- 
beispiele der Erfindung beschrieben, wie sie in den 
beigefugten Zeichnungen gezeigt sind. Obwohl die 
vorliegende Erfindung nachfolgend unter Bezugnah- 
me auf bevorzugte Ausfuhrungsbeispiele beschrie- 
ben wird, sollte es verstandlich sein, dass die vorlie- 
gende Erfindung nicht hierauf beschrankt ist. Der 
Fachmann, der Zugang zu den vorliegenden Lehren 
hat, wird zusatzliche Implementationen, Modifikatio- 
nen und Ausfuhrungsformen sowie andere Anwen- 
dungsgebiete erkennen, die in den Schutzumfang 
der vorliegenden Erfindung fallen, wie sie hier be- 
schrieben und beansprucht ist, und fur die die vorlie- 
gende Erfindung eine erhebliche Nutzlichkeit haben 
sollte. 

[0012] Um ein voiles Verstandnis der vorliegenden 
Erfindung zu erleichtern, wird nunmehr auf die beige- 
fugten Zeichnungen verwiesen. Diese Zeichnungen 
sollten nicht als die vorliegende Erfindung beschran- 
kend ausgelegt werden, sondern sie sollen lediglich 
Beispiele sein. 

[00^3] Fig, 1 ist eine schematische Darstellung, die 
ein von einem Diensteanbieter bereitgestelltes virtu- 
elles privates Netzwerk-(PPVPN-)System erlautert, 
das einen automatischen VPN-Erkennungsmecha- 
nismus gemaG zumindest einer Ausfuhrungsform der 
vorliegenden Erfindung verwendet. 

[0014] Flo. 2 ist ein Ablaufdiagramm, das einen 
Uberblick eines automatischen VPN-Erkennungsme- 
chanismus zum Aufbau und/oder zur Aufrechterhal- 



3/14 



DE 603 1 3 306 T2 2007.07.1 9 



tung eines Diensteanbieter-Rand-zu-Diensteanbie- 
ter-Rand-(PE-PE-)Tunnels gemaft zumindest einer 
Ausfuhrungsform der vorliegenden Erfindung erlau- 
tert. 

[0015] Ffa. 3 ist ein Ablaufdiagramm, das ein Bei- 
spiel einer Implementierung eines automatischen 
VPN-Erkennungsmechanismus nach Fig- 2 in einern 
RFC2547bis-basierten VPN gemafl zumindest einer 
Ausfuhrungsform der vorliegenden Erfindung erlau- 
tert. 

[0016] Fig, 4 ist ein Ablaufdiagramm, das ein Bei- 
spiel einer Implementierung des automatischen 
VPN-Erkennungsmechanismus nach in einem 

auf virtueller Routenfuhrung basierenden VPN ge- 
mate zumindest einer Ausfuhrungsform der vorlie- 
genden Erfindung erlautert. 

[0017] Fia. 5 ist ein Ablaufdiagramm, das ein Bei- 
spiel einer Implementierung des automatischen 
VPN-Erkennungsmechanismus nach Fig. 2 in einem 
Schicht-2-VPN unter Verwendung eines virtuellen 
privaten lokalen Netzwerk-Dienst-(VPLS-)basierten 
oder VPW-basierten Mechanism us gernafc zumin- 
dest einer Ausfuhrungsform der vorliegenden Erfin- 
dung erlautert. 

Ausfuhrliche Beschreibung von Ausfuhrungsbeispie- 

len 

[0018] Die Fag, 1 bis Fag. 5 zeigen verschiedene 
Beispiele von Irnplementierungen zur Schaffung von 
skalierbaren VPN-PE-PE-Tunnels in Schicht-2- oder 
Schicht-3-PPVPNs unter Verwendung eines automa- 
tischen Erkennungsmechanismus. Information be- 
zuglich des Aufbaus und/oder der Konfiguration ei- 
nes Tunnels zwischen zwei PE-Geraten kann zwi- 
schen den PE-Geraten eines Netzwerkes angekun- 
digt oder verbreitet werden. Diese Information kann 
beispielsweise das gewunschte Tunnel-Signalisie- 
rungs-Protokoll, das Dienstgute-(QoS-)Profil fur den 
Tunnel, den PE-Tunnel-Endpunkt, die Mitglied- 
schafts-lnformation, die zu verwendende VPN-Tech- 
nologie usw. einschliefien. In zumindest einer Aus- 
fuhrungsform kann diese Information als eine Erwei- 
terung zu einem konventionellen automatischen Er- 
kennungsmechanismus angekundigt werden, wie er 
ublicherweise in VPNs verwendet wird, wie z.B. dem 
Rand-Uberleiteinrichtungs-Protokoll (BGP), Ver- 
zeichnisdienst-Protokollen (beispielsweise Doma- 
nen-Namensdienst (DNS), RADIUS) und derglei- 
chen. Nach der Verteilung dieser Information kann 
ein Tunnel zwischen den passenden PE-Geraten zu- 
mindest teilweise auf der Grundlage der gelieferten 
Information aufgebaut werden. Alternativ konnen die 
PEs einen vorhandenen Tunnel auswahlen, der eini- 
ge oder alle der gelieferten Parameter erfullt. Durch 
Implementieren einer automatischen Erkennungs- 
technik zur Verteilung des QoS-Profils fur den Zweck 



der VPN-Tunnel-Konfiguration und/oder Aufbau-ln- 
formation kann die Skalierbarkeit des VPN-Systems 
verbessert werden, weil das QoS-Profil eines Tun- 
nels entsprechend den Anforderungen der 
VPN-Dienste eingestellt werden kann, wobei die In- 
formation zwischen den PEs in einer automatisierten 
Weise verteilt wird, statt durch eine manuelle Konfi- 
guration, wie bei konventionellen VPN-Systemen, im- 
plementiert zu werden. 

[0019] Es wird nunmehr auf Fig. 1 Bezug genom- 
men, in der ein Beispiel eines PPVPN-Systems 100 
gezeigt ist, das einen Fahigkeits-Erkennungsmecha- 
nismus gemaft zumindest einer Ausfuhrungsform der 
vorliegenden Erfindung implementiert. Bei dem ge- 
zeigten Beispiel schliefM das PPVPN-System 100 
PE-Router 102, 104 ein, die uber einen Netz- 
werk-Backbone 106 verbunden sind. Obwohl sie hier 
als VPN-fahige Router beschrieben werden, konnen 
die PE-Router 102, 104 andere geeignete PE-Gerate 
einschlieGen, wie z.B. MPLS-/IP-Schicht-2-Vermitt- 
lungen. Der Netzwerk-Backbone 106 kann irgendei- 
ne Anzahl von Diensteanbieter-Netzwerk-Geraten 
einschliefcen, die miteinander unter Verwendung von 
einer oder mehreren Datenverbindungsstrecken-Ty- 
pen verbunden sind, wie z.B. IP, ATM, Frame Relay 
(FR), Zeitmultiplexierung (TDM), Ethernet, optisches 
Ethernet, und dergleichen. 

[0020] Mit jedem PE-Router 102, 104 sind ein oder 
mehrere VPN-Segmente verbunden, wie z.B. die 
VPN-Segmente 142-146, die mit dem PE-Router 
102 verbunden sind, und VPN-Segmente 152-156, 
die mit dem PE-Router 104 verbunden sind. Jedes 
VPN-Segment 142-146, 152-156 kann ein oder 
mehrere vernetzte Kunden-Rand-(CE-)Gerate sowie 
Gerate zur Ermoglichung einer Netzwerk-Verbin- 
dungsmoglichkeit einschliefcen, wie z.B. Hubs, Rou- 
ter, Vermittlungen (Switches), Brucken und derglei- 
chen. Wie dies in der Technik verstandlich ist, konnen 
CE-Gerate irgendeines einer Vielzahl von vernetzten 
Geraten einschlieften, wie z.B. personliche Compu- 
ter, Laptops, Arbeitsstationen und dergleichen. 

[0021] Allgemein ist jedes VPN-Segment, das mit 
dem PE-Router 102 verbunden ist, ein Mitglied des 
gleichen VPN, wie ein VPN-Segment, das mit dem 
PE-Router 104 verbunden ist, so dass ein VPN zwi- 
schen Geraten auf den VPN-Segmenten aufgebaut 
wird. In dem dargestellten Beispiel sind die VPN-Seg- 
mente 142, 152 Mitglieder des VPN A , die VPN-Seg- 
mente 144, 154 sind Mitglieder des VPN B , und die 
VPN-Segmente 146, 156 sind Mitglieder des VPN. 
Obwohl jedes VPN-Segment in Fics. 1 als ein Mitglied 
eines einzigen VPN dargestellt ist, ist es verstandlich, 
dass ein VPN-Segment ein Mitglied einer Vielzahl 
von VPNs sein kann. In gleicher Weise kann ein 
CE-Gerat ein Mitglied einer Vielzahl von VPNs sein 
und kann daher ein Mitglied von mehr als einem 
VPN-Segment sein. 
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[0022] Um Kommunikationen zwischen VPN-Seg- 
menten zu ermoglichen, kann jeder PE-Router 102, 
104 eine VPN-Schnittstelle einschlieGen, die einenri 
VPN-Segment entspricht. Zur Erlauterung kann der 
PE-Router 102 VPN-Schnittstellen 122-126 zur 
Schnittstellenverbindung jeweils mit VPN-Segmen- 
ten 142-146 einschlie&en, und der PE-Router 104 
kann VPN-Schnittstellen 132-136 zur Schnittstellen- 
verbindung mit jeweiligen VPN-Segmenten 152-156 
einschliefcen. 

[0023] In Abhangigkeit von der verwendeten 
VPN-Technologie konnen die VPN-Schnittstellen 
122-126, 132-136 auf irgendeine einer Vielzahl von 
Arten implementiert werden. Wenn beispielsweise 
das PPVPN-System 100 ein Schicht-3-VPN unter 
Verwendung der virtuellen Routenfuhrung (VR) imp- 
lementiert, so konnen die VPN-Schnittstellen 
122-126, 132-136 virtuelle Router einschliefcen, die 
durch die PE-Router 102, 104 implementiert sind, um 
eine virtuelle Routenfuhrung zwischen den CE-Gera- 
ten auf den VPN-Segmenten zu schaffen. Die virtuel- 
le Routenfuhrung und virtuelle Router sind dem 
Fachmann gut bekannt. 

[0024] Wenn beispielsweise das PPVPN-System 
100 ein Schicht-3-VPN unter Verwendung von 
RFC2547bis implementiert, so konnen die 
VPN-Schnittstellen 122-126, 132-136 eine virtuelle 
Routenfuhrung und Weiterleitung (VRF) einschlie- 
Ren, die durch die Router 102, 104 implementiert 
wird, um virtuelle Routenfuhrungs- und Weiterleitung- 
stabellen zwischen den CE-Geraten auf den 
VPN-Segmenten bereitzustellen. RFC2547bis und 
die virtuelle Routenfuhrung und Weiterleitung sind 
dem Fachmann gut bekannt. 

[0025] Wenn alternativ das PPVPN-System 100 ein 
Schicht-2-VPW gemaf2> VPW implementiert (siehe 
beispielsweise „L2VPN Framework", weiter oben), so 
konnen die VPN-Schnittstellen 122-126, 132-136 
eine virtuelle Vermittlungsinstanz (VSI) einschliefcen, 
die durch die PE-Router 102, 104 implementiert ist, 
um Schicht-2-Anschluss-Schaltungen zwischen den 
CE-Geraten auf den VPN-Segmenten zu schaffen. 
Schicht-2-VPNs und virtuelle Vermittlungsinstanzen 
sind dem Fachmann gut bekannt. 

[0026] Weiterhin kann in zumindest einer Ausfuh- 
rungsform der PE-Router 102 eine automatische Er- 
kennungs-(AD-)Komponente 112 und eine Tun- 
nel-Signalisierungs-Komponente 116 einschliefcen, 
und der PE-Router 104 kann eine AD-Komponente 
114 und eine Tunnel-Signalisierungs-Komponente 
118 einschlie&en. Wie dies nachfolgend ausfuhrli- 
cher erlautert wird, konnen die Tunnel-Signalisie- 
rungs-Komponenten 116, 118 so ausgebildet sein, 
dass sie ein Oder mehrere VPN-Tunnels 170 zwi- 
schen den PE-Routern 102-104 unter Verwendung 
von einem oder mehreren Tunnel-Signalisierungs- 



mechanismen schaffen, konfigurieren und/oder un- 
terhalten. Beispiele von Tunnel-Signalisierungsme- 
chanismen, die durch die Tunnel-Signalisie- 
rungs-Komponenten 116, 118 implementiert sind, 
schliefcen beispielsweise RSVP, RSVP-TE, LDP, 
CR-LDP und dergleichen ein. 

[0027] Eine Anzahl der zugefuhrten Parameter 
kann von den Tunnel-Signalisierungs-Komponenten 
116, 118 verwendet werden, umden einen oder meh- 
rere Tunnels 170 zwischen dem PE-Router 102 und 
dem PE-Router 104 zu schaffen, zu konfigurieren 
und/oder zu unterhalten. Diese Parameter konnen 
beispielsweise den Typ des zu verwendenden Tun- 
nelungsmechanismus (das heifit die Angabe von RS- 
VP-TE oder CR-LDP); das QoS-Profil fur jeden Tun- 
nel 170; die PE-Tunnel-Endpunkte fur eine bestimm- 
te VPN-Mitgliedschaft; die zu verwendende 
VPN-Technologie (beispielsweise Schicht-3-Techno- 
logie gegenuberder Schicht-2-Technologie, 2547bis 
gegenuber virtueller Routenfuhrung usw.) und der- 
gleichen einschlieften. Zur Erleichterung der Diskre- 
tion wird diese Information insgesamt hier als die 
VPN-Fahigkeits-Erkennungs-lnformation (VCDI) be- 
zeichnet. 

[0028] In konventionellen PPVPN-Systemen wird 
diese Information typischerweise manuell an jedem 
PE-Router fur jede VPN-Mitgliedschaft konfiguriert. 
Bei einer Ausfuhrungsform kann die AD-Komponente 
112 jedoch so ausgebildet sein, dass sie diese Infor- 
mation an andere PE-Router auf dem Backbone 106 
unter Verwendung eines automatischen Erkennungs- 
mechanismus ankundigt (der nachfolgend ausfuhrli- 
cher beschrieben wird). Die AD-Komponente 112 
kann dann die empfangene VCDI-lnformation an die 
Tunnel-Signalisierungs-Komponente 116 zur Ver- 
wendung bei der Schaffung, dem Unterhalten 
und/oder dem Konfigurieren des einen oder mehrerer 
Tunnels 170 liefern, die der VCDI-lnformation zuge- 
ordnet sind. 

[0029] Der automatische Erkennungsmechanismus 
kann in einer eine Vielzahl von Arten implementiert 
werden. In zumindest einer Ausfuhrungsform kann 
der automatische Erkennungsmechanismus als eine 
Erweiterung fur konventionelle Informations-Vertei- 
lungs-Protokolle implementiert werden, wie z.B. BGP, 
DNS und RADIUS. Um die Verwendung von BGP zu 
erlautern, kann die VCDI-lnformation fur jedes der 
VPN A , VPN B und VPN bestimmt und an die PE-Rou- 
ter 102, 104 jeweils als Profile 162-166 als Teil einer 
BGP-Aktualisierung (UPDATE) 160 uber den Back- 
bone 106 gesandt werden. Bei Empfang der BGP 
UPDATE 160 konnen die AD-Komponenten 112, 114 
(die in diesem Fall jeweils BGP-fahig sind) dann die 
Profile 162-166 ableiten und die VCDI-lnformation 
der Profile 162-166 an die Tunnel-Signalisie- 
rungs-Komponenten 116, 118 zur Verwendung bei 
der Schaffung, dem Unterhalt und/oder der Konfigu- 
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ration der VPN-Tunnels) liefern, die jedem VPN zu- 
geordnet sind. DNS, RADIUS, und andere Verzeich- 
nisdienst-Protokolle konnen in einer ahnlichen Weise 
erweitert werden, um die VCDI an die PE-Router zu 
verteilen. Entsprechend kann anstelle einer Notwen- 
digkeit einer manuellen Konfiguration der VPN-Tun- 
nels an jedem PE-Router die VPN-Tun nel-Konfig ura- 
tions-lnformation (das heifit die VCDI) auf die auto- 
matische Erkennungs-lnformation dadurch aufge- 
setzt werden, dass das automatische Erken- 
nungs-Protokoll erweitert wird, um die Ubertragung 
der VCDI-lnformation einzuschlie&en. 

[0030] Unter Bezugnahme auf Flo. 2 wird ein Uber- 
blick uber ein Beispiel des VPN-Tunnel-Konfigurati- 
ons-Prozesses gemaft zumindest einer Ausfuh- 
rungsform der vorliegenden Erfindung erlautert. In 
dem dargestellten Beispiel beginnt der VPN-Tun- 
nel-Konfigurations-Prozess 200 im Schritt 202, in 
dem die VCDI-lnformation fur ein vorgegebenes VPN 
bestimmt werden kann. Die VCDI-lnformation kann 
Information bezuglich der Konfiguration von einem 
oder mehreren VPN-Tunnels zwischen den PE-Rou- 
tern fur das VPN einschliefcen. Beispielsweise kann 
die VCDI-lnformation die PE-Tunnel-Endpunkte, die 
Gemeinschafts-Routenziele, Ressourcen-Parame- 
ter (beispielsweise minimale Bandbreite, maximale 
Verzogerung, zugelassene Burst-Grofce, zugelasse- 
ne Rate, Jitter, Fehler, Inhaberschaft, physikalische 
Position, Art des Transportmediums, usw.), Topolo- 
gie-lnformation und andere Parameter spezifizieren, 
die von den Tunnel-Signalisierungsmechanismen 
verwendet werden, um einen VPN-Tunnel aufzubau- 
en und/oderzu konfigurieren. 

[0031] Im Schritt204 kann die im Schritt 202 gewon- 
nene VCDI-lnformation an einige oder alle der 
PE-Router auf dem Backbone angekundigt werden. 
Die Ankundigung der VCDI-lnformation schlieftt bei 
einer Ausfuhrungsform die Einfugung der VCDI-lnfor- 
mation in ein konventionelles Informations-Vertei- 
lungs-Protokoll ein. Beispielsweise konnte die VC- 
DI-lnformation als eine Erweiterung von BGP einge- 
fugt und zwischen PE-Routern unter Verwendung 
von beispielsweise einer BGP UPDATE-Ubertragung 
ubertragen werden. Alternativ konnte die VCDI-lnfor- 
mation entsprechend DNS oder RADIUS formatiert 
und ubertragen werden. Sammelsende-basierte Pro- 
tokolle konnen ebenfalls erweitert werden, um ein 
Sammelsenden der VCDI-lnformation an einige oder 
alle der PE-Router uber den Backbone auszufuhren. 

[0032] Im Schritt 206 kann bei Empfang der VC- 
DI-lnformation ein PE-Router mit der Aushandlung 
der Schaffung eines VPN-(oder pro 
VPN-)PE-PE-Tunnels auf der Grundlage von zumin- 
dest teilweise der empfangenen VCDI-lnformation 
beginnen. Wie dies weiter oben erwahnt wurde, ist 
die Schaffung und Konfiguration eines VPN-Tunnels 
in derTechnikgut bekannt (siehe Hamid Ould-Brahim 



et al., „Using BGP as an Auto-Discovery Mechanism 
for Network-Based VPNs", August 2002, verfugbar 
unter <http://www.ietf.org/internet-drafts/draft-ietf-pp- 
vpn-bgvpn-auto-03.txt>. 

[0033] Bei der Schaffung und Konfiguration des 
VPN-Tunnels aus der VCDI-lnformation kann ir- 
gendeiner einer Vielzahl von Tunnelungsmechanis- 
men verwendet werden. Beispiele derartiger Mecha- 
nismen schlieften beispielsweise RSVP-TE, LDP, 
CR-LDP und dergleichen ein. Nach der Schaffung 
des VPN-Tunnels konnen CE-Gerate auf den ver- 
schiedenen VPN-Segmenten dann den VPN-Tunnel 
verwenden, um Daten sicher zwischen den 
VPN-Segmenten zu ubertragen. 

[0034] Es wird nunmehr auf die F j u q v 3- FJ c |. u 5 L Bezug 
genommen, in denen verschiedene Beispiele von Im- 
plementierungen des Prozesses 200 nach fur 
bestimmte VPN-Technologien gemafc zumindest ei- 
ner Ausfuhrungsform der vorliegenden Erfindung 
dargestellt sind. Fsa a 3 zeigt ein Beispiel einer Imple- 
mentierung des Prozesses 200 fur ein VPN-System, 
das ein Schicht-3-VPN unter Verwendung von 
RFC2547bis implementiert. Fig. 4 zeigt ein Beispiel 
einer Implementierung des Prozesses 200 fur ein 
VPN-System, das ein Schicht-3-VPN unter Verwen- 
dung einer virtuellen Routenfuhrung implementiert. 
Fag, 5 zeigt ein Beispiel einer Implementierung des 
Prozesses 200 fur ein VPN-System, das ein 
Schicht-2-VPN unter Verwendung von VPLS oder 
VFW implementiert. Obwohl Beispiele von Imple- 
mentierungen des Prozesses 200 fur eine Anzahl von 
VPN-Technologien gezeigt sind, ist der Fachmann 
unter Verwendung der hier angegebenen Leitlinien in 
der Lage, den Prozess 200 fur verschiedene andere 
VPN-Technologien zu modifizieren, ohne von dem 
Grundgedanken oder Schutzumfang der vorliegen- 
den Erfindung abzuweichen. 

[0035] In Fig. 3 ist ein Beispiel eines automatischen 
Erkennungs-Prozesses 300 zur Verteilung von 
VPN-Tunnel-Konfigurations-lnformation in einem 
Schicht-3-PPVPN auf der Grundlage von 
RFC2547bis gemaft zumindest einer Ausfuhrungs- 
form der vorliegenden Erfindung gezeigt. Nach der 
Feststellung der betreffenden VCDI-lnformation 
(Schritt 202, Fig, 2 ) beginnt der Prozess 300 im 
Schritt 302, in dem die VCDI-lnformation, die einem 
oder mehreren VPN-Tunnels zugeordnet ist, den 
AD-Komponenten der PE-Router (beispielsweise 
den AD-Komponenten 112, 114, Fig, 1 ) angekundigt 
werden kann, wie dies weiter oben erlautert wurde. 
Wie dies vorstehend erwahnt wurde, wird die VC- 
DI-lnformation vorzugsweise als eine Erweiterung ei- 
nes automatischen Erkennungs-Protokolls verteilt, 
wie z.B. BGP, DNS oder RADIUS. Im Schritt 304 fuhrt 
die Tunnel-Signalisierungs-Komponente (beispiels- 
weise die Tunnel-Signalisierungs-Komponenten 116, 
118, Fig, 1 ) an einem PE-Router eine Aushandlung 
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mit dern Tunnelungsmechanismus an einem entspre- 
chenden PE-Router aus, um einen oder mehrere 
VPN-Tunnels auf der Grundlage zumindest teilweise 
der gelieferten VCDI-lnformation aufzubauen und zu 
konfigurieren. Diese Konfiguration kann beispielswei- 
se die Aushandlung der QoS fur den VPN-Tunnel, die 
Einstellung einer minimalen oder maximalen Band- 
breite fur den VPN-Tunnel, die Angabe des Tunne- 
lungsmechanismus und dergleichen einschliefien. 
Alternativ kann in einer Ausfuhrungsform die Tun- 
nel-Signalisierungs-Komponente einen bereits exis- 
tierenden VPN-Tunnel auswahlen, der einige oder 
alle der Parameter erfullt, die in der VCDI-lnformation 
angegeben sind. 

[0036] Bei der Schaffung und Konfiguration des 
VPN-Tunnels (oder der Auswahl eines bereits exis- 
tierenden Tunnels) konnen virtuelle Routenfuh- 
rungs-Weiterleitungs-(VRF-)Tabellen an jedem 
PE-Router erzeugt werden. Die Erzeugung der 
VRF-Tabellen ist in der Technik gut bekannt. Im 
Schritt 306 konnen diese VRF-Tabellen dann an dem 
Backbone unter Verwendung von beispielsweise des 
BGP exportiert und dann auf die passenden PE-Rou- 
ter zur Verwendung bei der Routenfuhrung von 
VPN-Verkehr durch den aufgebauten Tunnel verteilt 
werden. 

[0037] Es wird nunmehr auf Fig, 4 Bezug genom- 
men, in der ein Beispiel eines automatischen Erken- 
nungsprozesses 400 zur Verteilung von VPN-Tun- 
nel-Konfigurations-lnformation in einem 

Schicht-3-VPN auf der Grundlage der virtuellen Rou- 
tenfuhrung gemaft zumindest einer Ausfuhrungsform 
der vorliegenden Erfindung gezeigt ist. Nach der Be- 
stimmung der betreffenden VCDI-lnformation (Schritt 
202, FMJ2) beginnt der Prozess 400 im Schritt 402, 
in dem VPN-IDs den Endpunkten des aufzubauen- 
den/auszuwahlenden Tunnels zugeordnet werden. 
An diesem Punkt ist es typischerweise nicht erforder- 
lich, die VR-Prafixe/Adressen anzukundigen. Im 
Schritt 404 wird eine Liste der VPN-IDs in die ubrige 
VCDI-lnformation eingefugt, und diese Information 
kann an die AD-Komponenten der PE-Router ange- 
kundigt werden (beispielsweise die AD-Komponen- 
ten 112, 114, Fig. 1 ). wie dies weiter oben erlautert 
wurde. Fur Implementierungen mit der virtuellen 
Routenfuhrung wird die VCDI-lnformation vorzugs- 
weise als eine Erweiterung einer BGP-Multi-Proto- 
koll-Erweiterung (BGP-MP) verteilt. Andere Inforrna- 
tions-Verteilungs-Protokolle, wie z.B. DNS, RADIUS 
und IP-Sammelsendung konnen verwendet werden. 
An diesem Punkt kann es passend sein, die VR-Pra- 
fixe/Adressen anzukundigen. 

[0038] Im Schritt 406 kann der die VCDI-lnformation 
empfangende virtuelle Backbone-Router so ausge- 
bildet sein, dass er einen oder mehrere VPN-Tunnels 
zumindest teilweise auf der Grundlage der geliefer- 
ten VCDI-lnformation aufbaut und konfiguriert. Diese 



Konfiguration kann beispielsweise die Aushandlung 
der QoS fur den VPN-Tunnel, die Einstellung einer 
minimalen oder maximalen Bandbreite fur den 
VPN-Tunnel, die Angabe des Tunnelungsmechanis- 
mus und dergleichen einschlie&en. Alternativ kann 
bei einer Ausfuhrungsform die Tunnel-Signalisie- 
rungs-Komponente einen bereits existierenden 
VPN-Tunnel auswahlen, der einige oder alle der Pa- 
rameter erfullt, die in der VCDI-lnformation angege- 
ben sind. Im Schritt 408 kann die VPN-Topologie-ln- 
formation in einer Weise angekiindigt werden, die 
ahnlich der Ankundigung der VCDI-lnformation im 
Schritt 404 ist. 

[0039] Es wird nunmehr auf Fj£id| Bezug genom- 
men, in der ein Beispiel eines automatischen Erken- 
nungsprozesses 500 zur Verteilung von VPN-Tun- 
nel-Konfigurations-lnformation in einem 

Schicht-2-PPVPN auf der Grundlage von VPLS oder 
VPW gemaft zumindest einer Ausfuhrungsform der 
vorliegenden Erfindung gezeigt ist. Nach der Fest- 
stellung der betreffenden VCDI-lnformation (Schritt 
202, Fig. 2) beginnt der Prozess 500 im Schritt 502, 
in dem die einem oder mehreren VPN-Tunnels zuge- 
ordnete VCDI-lnformation den AD-Komponenten der 
PE-Router angekundigt wird (beispielsweise den 
AD-Komponenten 112, 114, Fag. 1), wie dies weiter 
oben erlautert wurde. An diesem Punkt kann es un- 
notig sein, Schicht-2-VPN-Dienste auszutauschen. 
Wie dies weiter oben erwahnt wurde, wird die VC- 
DI-lnformation vorzugsweise als eine Erweiterung ei- 
nes automatischen Erkennungs-Protokolls, wie z.B. 
BGP, DNS oder RADIUS, verteilt. 

[0040] Im Schritt 504 fuhrt die Tunnel-Signalisie- 
rungs-Komponente (beispielsweise die Tunnel-Sig- 
nalisierungs-Komponenten 116, 118, F[g_._1_) an ei- 
nem PE-Router eine Aushandlung mit dem Tunne- 
lungsmechanismus an einem entsprechenden Rou- 
ter aus, um einen oder mehrere VPN-Tunnels auf der 
Grundlage von zumindest teilweise der gelieferten 
VCDI-lnformation aufzubauen und zu konfigurieren. 
Diese Konfiguration kann beispielsweise die Aus- 
handlung der QoS fur den VPN-Tunnel, die Einstel- 
lung einer minimalen oder maximalen Bandbreite fur 
den VPN-Tunnel, die Angabe des Tunnelungsme- 
chanismus und dergleichen einschlieften. Alternativ 
kann bei einer Ausfuhrungsform die Tunnel-Signali- 
sierungs-Komponente einen bereits existierenden 
VPN-Tunnel auswahlen, der einige oder alle die Pa- 
rameter erfullt, die in der VCDI-lnformation angege- 
ben sind. 

[0041] Nach der Schaffung und Konfiguration des 
VPN-Tunnels (oder der Auswahl eines bereits exis- 
tierenden Tunnels) konnen Schicht-2-VPN-Ankundi- 
gungen im Schritt 506 erzeugt und unter Verwendung 
der Backbone-BGP-Komponente (beispielsweise der 
AD-Komponenten 112, 114) im Schritt 508 verteilt 
werden. 
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[0042] An diesem Punkt sei bemerkt, dass die Imp- 
lementierung eines automatischen Erken- 
nungs-VPN-Tunnel-Konfigurations-Prozesses ge- 
mafc der vorliegenden Erfindung, wie er vorstehend 
beschrieben wurde, typischerweise die Verarbeitung 
von Eingangsdaten und die Erzeugung von Aus- 
gangsdaten in gewissem Ausmaft beinhaltet. Diese 
Eingangsdaten-Verarbeitung und Ausgangsda- 
ten-Erzeugung kann in Hardware oder Software irnp- 
lementiert werden. Beispielsweise konnen spezielle 
elektronische Komponenten in einem Knoten oder 
ahnlichen und verwandten Schaltungen zur Imple- 
mentierung einer automatischen Erkennungs-Kom- 
ponente und einer Tunnel-Signalisierungs-Kompo- 
nente gemafc der vorliegenden Erfindung verwendet 
werden, wie dies weiter oben beschrieben wurde. Al- 
ternate konnen ein oder mehrere Prozessoren, die 
gemaft gespeicherter Befehle arbeiten, die Funktio- 
nen implementieren, die mit der Implennentierung ei- 
nes automatischen Erkennungs-VPN-Tunnel-Konfi- 
gurations-Prozesses gemaft der vorliegenden Erfin- 
dung verbunden sind, wie dies vorstehend beschrie- 
ben wurde. Wenn dies der Fall ist, liegt es innerhalb 
des Schutzumfanges der vorliegenden Erfindung, 
dass derartige Befehle auf einem oder mehreren von 
einem Prozessor lesbaren Medien gespeichert oder 
an einen oder mehrere Prozessoren uber ein oder 
mehrere Signale ubertragen werden. 

[0043] Zusammenfassend istfestzustellen, dass die 
Erfindung eine Technik zur Ressourcen-Verteilung 
unterVerwendung eines automatischen Erkennungs- 
mechanismus fur von Diensteanbietern bereitgestell- 
te virtuelle private Schicht-2- und Schicht-3-Netzwer- 
ke ergibt. Bei einem speziellen Ausfuhrungsbeispiel 
kann die Technik durch ein Verfahren zum Aufbau ei- 
nes virtuellen privaten Netzwerk-(VPN-)Tunnels zwi- 
schen einem ersten Diensteanbieter-Rand-(PE-)Ge- 
rat und einem zweiten (PE-)Gerat eines von einem 
Diensteanbieter bereitgestellten VPN verwirklicht 
werden. Das Verfahren umfasst die Ankundigung von 
zumindest einem Tunnel-basierten Parameter an zu- 
mindest ein oder mehrere PE-Gerate uber einen 
Netzwerk-Backbone unter Verwendung eines auto- 
matischen Erkennungsmechanismus, wobei das 
eine oder mehrere PE-Gerat zumindest eine der ers- 
ten und zweiten PE-Gerate einschlieftt. Das Verfah- 
ren umfasst weiterhin die Konfiguration eines 
VPN-Tunnels zwischen den ersten und zweiten 
PE-Geraten zumindest teilweise auf der Grundlage 
des zumindest einen Tunnel-basierten Parameters. 

[0044] Die vorliegende Erfindung ist hinsichtlich ih- 
res Schutzumfanges nicht durch die speziellen vor- 
stehend beschriebenen Ausfuhrungsformen be- 
schrankt. Tatsachlich sind vielfaltige Modifikationen 
der vorliegenden Erfindung zusatzlich zu den hier be- 
schriebenen fur den Fachmann aus der vorstehen- 
den Beschreibung und den beigefugten Zeichnungen 
ersichtlich. Daher sollen derartige Modifikationen in 



den Schutzumfang der folgenden beigefugten An- 
spruche fallen. Weiterhin wird, obwohl die vorliegen- 
de Erfindung hier in dem Zusammenhang mit einer 
bestimmten Implementierung in einer bestimmten 
Umgebung fur einen speziellen Zweck beschrieben 
wurde, der Fachmann erkennen, dass die Nutzlich- 
keit der Erfindung nicht hierauf beschrankt ist, und 
dass die vorliegende Erfindung in vorteilhafter Weise 
in irgendeiner Anzahl von Umgebungen fur irgendei- 
ne Anzahl von Zwecken implementiert werden kann. 

Patentanspriiche 

1 . Verfahren zum Aufbau eines virtuellen privaten 
Netzwerk-, VPN-, Tunnels (1 70) zwischen einem ers- 
ten Diensteanbieter-Rand-PE-Gerat (102) und einem 
zweiten PE-Gerat (104) eines von einem Dienstean- 
bieter bereitgestellten VPN, PPVPN, (100), mit den 
folgenden Schritten: 

Ankundigen von zumindest einem Tunnel-basierten 
Parameter an eines oder mehrere PE-Gerate uber ei- 
nen Netzwerk-Backbone (106) unterVerwendung ei- 
nes automatischen Erkennungsmechanismus, wobei 
das eine oder die mehreren PE-Gerate zumindest ei- 
nes der ersten und zweiten PE-Gerate einschlieften; 
und 

Konfigurieren eines VPN-Tunnels zwischen den ers- 
ten und zweiten PE-Geraten zumindest teilweise auf 
der Grundlage des zumindest einen Tunnel-basierten 
Parameters. 

2. Verfahren nach Anspruch 1 , bei dem der auto- 
matische Erkennungsmechanismus einen von fol- 
genden Mechanismen einschlieftt: einen Rand-Uber- 
leiteinrichtungs-Protokoll-, BGP-, basierten Mecha- 
nismus; einen Domanen-Namensdienst-, DNS-ba- 
sierten Mechanismus; und einen Fernauthentifizie- 
rungs-Einwahl-Benutzerdienst-, RADIUS-, basierten 
Mechanismus. 

3. Verfahren nach Anspruch 2, bei dem der zu- 
mindest eine Tunnel-basierte Parameter an das eine 
oder die mehreren PE-Gerate als eine Erweiterung 
eines automatischen Erkennungs-Protokolls verteilt 
wird. 

4. Verfahren nach Anspruch 1, bei dem die Kon- 
figuration des VPN-Tunnels das Konfigurieren des 
VPN-Tunnels unter Verwendung von zumindest ei- 
nem Tunnel-Signalisierungsmechanismus ein- 
schlielM. 

5. Verfahren nach Anspruch 4, bei dem der zu- 
mindest eine Tunnel-Signalisierungsmechanismus 
einen von folgenden Mechanismen einschliefit: einen 
Ressourcen-Reservierungs-Protokoll-, RSVP-, ba- 
sierten Mechanismus; einen Ressourcen-Reservie- 
rungs-Protokoll-Verkehrsauslegungs-, RSVP-TE-, 
basierten Mechanismus; einen Etikettvertei- 
lungs-Protokoll-, LDP-, basierten Mechanismus; und 
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einen Bedingungs-basierten Routenfuhrungs-, 
LDP-CR-LDP-, basierten Mechanismus. 

6. Verfahren nach Anspruch 1, bei dem der zu- 
mindest eine Tunnel-Parameter einen von folgenden 
Parametern einschlieftt: einen Typ des Tunnelungs- 
mechanismus; zumindest einen PE-Tunnel-End- 
punkt; zumindest ein Gemeinschafts-Routen-Ziel; 
Topologie-lnformation; und zumindest einen Res- 
sou rce n -Para meter. 

7. Verfahren nach Anspruch 6, bei dem zumin- 
dest eine Ressourcen-Parameter einen von folgen- 
den Parametern einschliefct: minimale Bandbreite; 
maximale Verzogerung; vereinbarte Burst-Grofce; 
vereinbarte Rate; Jitter; Fehler; Inhaberschaft; physi- 
kalische Position und Transportmedium. 

8. Verfahren nach Anspruch 1, bei dem die Kon- 
figuration des VPN-Tunnels die Auswahl eines be- 
reits existierenden VPN-Tunnels einschliefct, wobei 
der bereits existierende VPN-Tunnel zumindest ei- 
nen Tunnel-Parameter erfullt. 

9. Von einem Diensteanbieter bereitgestelltes vir- 
tuelles privates Netzwerk-, PPVPN-, System, mit: 
automatischen Erkennungseinrichtungen zur Vertei- 
lung von zumindest einem virtuellen privaten Netz- 
werk-, VPN-, Tunnel-basierten Parameter an zumin- 
dest ein erstes und ein zweites Diensteanbie- 
ter-Rand-PE-Gerat (102, 104); und 
Tunnel-Signalisierungseinrichtungen zum Konfigu- 
rieren eines VPN-Tunnels (170) uber einen Netz- 
werk-Backbone (106) zwischen den ersten und zwei- 
ten PE-Geraten zumindest teilweise auf der Grundla- 
ge des zumindest einen Tunnel-basierten Parame- 
ters. 

10. System nach Anspruch 9, bei dem die auto- 
matische Erkennungseinrichtung 1 so ausgebildet 
ist, dass sie den zumindest einen Tunnel-basierten 
Parameter als eine Erweiterung von zumindest ei- 
nem automatischen Erkennungs-Protokoll verteilt. 

1 1 . System nach Anspruch 1 0, bei dem das auto- 
matische Erkennungs-Protokoll eines der folgenden 
Protokolle umfasst: einen Rand-Uberleitungseinrich- 
tungs-Protokoll-, BGP-, basierten Mechanismus; ei- 
nen Domanen-Namensdienst-, DNS-, basierten Me- 
chanismus; und einen Fernauthentifizierungs-Ein- 
wahl-Benutzerdienst-, RADIUS-basierten Mechanis- 
mus. 

12. System nach Anspruch 9, bei dem die Tun- 
nel-Signalisierungseinrichtung einen von folgenden 
Mechanismen einschlieftt: einen Ressourcen-Reser- 
vierungs-Protokoll-, RSVP-, basierten Mechanismus; 
einen Ressourcen-Reservierungs-Protokoll-Ver- 
kehrsauslegungs-, RSVP-TE-, basierten Mechanis- 
mus; einen Etikettverteilungs-Protokoll-, LDP-, ba- 



sierten Mechanismus; und einen Bedingungs-basier- 
ten Routenfuhrungs- LDP-CR-LDP-, basierten Me- 
chanismus. 

13. System nach Anspruch 9, bei dem der zumin- 
dest eine Parameter einen von folgenden Parame- 
tern einschlieftt: einen Typ des Tunnelungsmecha- 
nismus; zumindest einen PE-Tunnel-Endpunkt; zu- 
mindest ein Gemeinschafts-Routenziel; Topologie-ln- 
formation; und zumindest einen Ressourcen-Para- 
meter. 

14. System nach Anspruch 13, bei dem der zu- 
mindest eine Ressourcen-Parameter einen von fol- 
genden Parametern einschliefct: minimale Bandbrei- 
te; maximale Verzogerung; vereinbarte Burst-Grofte; 
vereinbarte Rate; Jitter; Fehler; Inhaberschaft; physi- 
kalische Position und Transportmedium. 

15. System nach Anspruch 10 mit: 
dem Netzwerk-Backbone; und 

den ersten und zweiten PE-Geraten, die jeweils be- 
triebsmaftig mit dem Netzwerk-Backbone verbunden 
sind. 

Es folgen 5 Blatt Zeichnungen 
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Bestimme VPN-Fahigkeits- 
Erkennungsinformation (VCDI) 



200 



VCDI an PEs ankundigen 

2Q4 



Tunnel zwischen nahegelegenem PE 
und fernem PE unter Verwendung von 
VCDI konstruieren 

206 



Fig. 2 
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VPN-Fahigkeits-Erkennung fur Schicht-3- 
VPNs unter Verwendung von 2547bis 



VCDI an PEs ankundigen 

302 




r 


QoS durch Schaffung von PE-PE- 
Tunnels aushandeln 

304 


i 


r 



VRF-Tabellen an Backbone zur 
Verteilung exportieren 



226 
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VPN-Fahigkeits-Erkennung fur Schicht-3 
VPNs unter Verwendung der virtuellen Routenfuhrung 



VPN-IDs zu Tunnel-Endpunkten 
zuordnen 

4Q2 



400 



VCDI unter Verwendung von 
BGP-MP ankundigen 

404 



PE-PE-Tunnel uber Backbone-VR 
erzeugen 

406 



Topologie-lnformation ankundigen 
408 



r iG. 4 
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VPN-Fahigkeits-Erkennung fur Schicht-2-VPNs 
unter Verwendung von VPLS oder VPW 



VCDI an PEs ankundigen 
502 



y 

QoS durch Schaffung von PE-PE- 
Tunnels aushandeln 

504 



Schicht-2-Ankundigungen erzeugen 

506 



Ankiindigungen an Backbone zur 
Verteilung exportieren 

508 



Fig. 5 
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